Décomposer les six composants de CPS230 et comment ils s'appliquent à toutes les organisations

Se conformer aux normes mises à jour de CPS230 à partir de juillet 2025 est une priorité pour toutes les institutions financières réglementées par l’APRA cette année. Mais que peuvent apprendre les organisations en dehors du champ d’application de l’APRA des normes ?

L’objectif de CPS230 est d’aider les organisations à mieux gérer les perturbations et les risques opérationnels. Le mot clé ? Perturbation.

Étant donné le nombre de perturbations au cours des cinq dernières années seulement - COVID, récessions (pour n’en nommer que quelques-unes), il est facile de voir comment se concentrer sur la résilience est pertinent pour toutes les organisations. Nous avons vu ces événements impacter toutes les industries, causant souvent des dommages durables. Renforcer la stabilité de votre organisation est une défense solide contre ces ondes de choc. Après tout, mieux vaut prévenir que guérir.

Décomposons les six composants clés de CPS230, en extrayant les enseignements essentiels pour les collections de votre organisation.

1. Modèle opérationnel

Analyser votre modèle opérationnel signifie examiner de près votre cadre de gestion des risques :

• Quels mécanismes avez-vous en place ? Adoptez-vous un modèle de trois lignes de défense ?
• Qui est responsable de votre cadre de gestion des risques critiques ? Les responsabilités individuelles sont-elles clairement définies, jusqu’à votre Conseil d’administration ?

Vous devez examiner comment votre modèle opérationnel évolue et à quel point il est adaptable aux nouvelles exigences. Cela peut signifier apporter des modifications ou des ajustements, en veillant à ce que votre gestion des risques soit appropriée pour l’état actuel de votre organisation - et pour son avenir.

2. Opérations critiques

Identifier vos opérations critiques, leurs dépendances et mesurer les processus est la prochaine étape. En tant qu’opération critique, vos opérations de collecte et de recouvrement jouent un rôle significatif dans la préparation de votre organisation à un événement à risque.

Si vous gérez vos collections en interne, commencez par envisager comment votre configuration actuelle gérerait une augmentation significative du volume. Un effectif supplémentaire serait-il nécessaire ? Qu’en est-il de la technologie ou des systèmes, à quel point sont-ils évolutifs ? Placer vos opérations existantes dans le contexte d’une crise peut rapidement révéler des lacunes - qu’il vaut mieux traiter maintenant plutôt que plus tard.

Les mêmes questions s’appliquent si vous sous-traitez les recouvrements à un partenaire de collecte. Commencez par demander comment ils gèrent les afflux soudains de références, ou essayez d’analyser leur performance précédente lors d’augmentations de volume. Vous devez être sûr que votre partenaire pourrait faire évoluer ses opérations lors de tout événement critique - sans compromettre l’expérience client, la conformité ou la performance.

3. Fournisseurs de services matériels

Les fournisseurs de services matériels sont ceux sur lesquels vous comptez pour des opérations critiques. Cela inclut les services technologiques de base, les fournisseurs d’assurance et les agences de recouvrement. Pour la résilience opérationnelle, l’APRA exige que les organisations :

• Effectuent une diligence raisonnable approfondie et des évaluations continues des capacités de votre partenaire. Pensez à la dernière fois que vous avez évalué votre agence de recouvrement, ces résultats sont-ils toujours valables ou est-il temps de réévaluer ?
• Évaluent le risque financier et non financier de la dépendance à votre partenaire. Par exemple, travaillez-vous uniquement avec un partenaire de recouvrement ou en avez-vous plusieurs ?

Un autre facteur à considérer est la chaîne d’approvisionnement de votre partenaire de recouvrement. S’ils dépendent de canaux traditionnels tels que le dial-out ou le courrier, leur capacité à évoluer sera assez limitée. Comprendre leurs dépendances est crucial ici, car leurs obstacles auront un impact sur vos services - et sur vos clients.

4. Votre plan de continuité des activités

Considérez votre plan de continuité des activités (PCA) comme la colonne vertébrale de votre résilience opérationnelle. Il fournit un plan nécessaire pour maintenir le fonctionnement de votre entreprise pendant les périodes difficiles. Bien que d’autres priorités puissent souvent interférer, il est essentiel de s’assurer que votre PCA est régulièrement mis à jour et adapté à son objectif. Il doit refléter les changements organisationnels récents et être testé régulièrement.

Il vaut également la peine de demander à vos principaux fournisseurs leur PCA et les protocoles qu’ils ont en place pour les événements de crise. Par exemple, votre point de contact dédié changerait-il ? Ou la surveillance serait-elle différente ? Après la pandémie, McKinsey a constaté que 2 entreprises sur 3 demandent à leurs principaux fournisseurs s’ils ont des PCA en place. Avoir vos propres processus en ordre est une chose, mais s’assurer que vos partenaires essentiels le sont aussi est une couche supplémentaire.

5. Gestion des incidents

Quand votre organisation a-t-elle fait face à un incident significatif pour la dernière fois ? Identifier, surveiller et rendre compte de tout incident est une partie essentielle de la résilience opérationnelle. Fournissant une source d’apprentissage continue, cela démontre une approche sophistiquée du risque global. S’assurer de ne pas seulement enregistrer les incidents, mais aussi les « quasi-accidents » est également clé ici. Vous voulez analyser ces situations en profondeur pour comprendre les contrôles préventifs et les mesures de soutien.

Du point de vue d’un fournisseur de recouvrement, il est crucial de considérer leur gestion de tout incident historique. Peut-être ont-ils eu une panne de serveur précédente, impactant leur capacité à gérer les recouvrements. Quelle a été leur communication pendant cette période ? Combien de temps leur a-t-il fallu pour redémarrer ? Quels protocoles mis à jour ont-ils mis en place pour garantir une meilleure gestion si cela devait se reproduire ? Adopte-t-il une approche mature de la déclaration des incidents dans l’ensemble ? Évaluer cela en détail vous donnera une bonne idée de la résilience de votre partenariat.

6. Contrôles

Main dans la main avec la gestion des incidents, des contrôles efficaces sont la dernière partie de CPS230. Ici, vous voulez comprendre :

• Quels contrôles avez-vous actuellement en place, y compris leur conception, leur surveillance et leur rapport ?
• L’adéquation de ces contrôles, sont-ils adaptés à leur objectif ? Quand ont-ils été mis à jour ? Ont-ils besoin d’être affinés ?
• Comment utilisez-vous vos contrôles pour soutenir votre cadre global de gestion des risques ? Comment peuvent-ils vous aider à évaluer votre résilience ?

Comme pour les autres facteurs, demandez à votre partenaire de recouvrement leur gestion continue des contrôles. S’il y a des lacunes ou des faiblesses, leur remédiation devrait être une priorité absolue. Vous devez vous sentir à l’aise que votre partenaire minimise les perturbations autant que possible.

Changer d’attitude : passer de la gestion des perturbations à la prévention des perturbations

En fin de compte, CPS230 est bien plus qu’un nouvel ensemble de normes. Il s’agit de faire évoluer la culture organisationnelle pour qu’elle soit plus réfléchie et adaptable à l’environnement macro actuel. Avec des événements de crise nécessitant une prise de décision rapide et des services serrés, se préparer maintenant est plus que justifié - c’est fondamental.

Créer des couches de protection holistiques pour votre prestation de services signifie exiger la même chose de vos partenaires clés, en particulier en matière de recouvrement. Lorsque votre capacité à soutenir les clients et à conserver des revenus devient plus importante que jamais pendant une crise, il est préférable d’être préparé maintenant - plutôt que plus tard.